
Jaringan global yang terdiri dari sekitar 13.000 router Mikrotik yang dibajak telah digunakan sebagai botnet untuk menyebarkan malware melalui kampanye spam, tambahan terbaru dalam daftar botnet yang didukung oleh perangkat MikroTik.
Kegiatan “mengambil[s] keuntungan dari catatan DNS yang salah dikonfigurasi untuk melewati teknik perlindungan email,” kata peneliti keamanan Infoblox David Brunsdon dalam laporan teknis yang diterbitkan minggu lalu. “Botnet ini menggunakan jaringan global router Mikrotik untuk mengirim email berbahaya yang dirancang agar tampak berasal dari domain yang sah .”
Perusahaan keamanan DNS, yang memberi nama sandi pada kampanye tersebut Mikro salah ketikmengatakan analisisnya muncul dari penemuan kampanye malspam pada akhir November 2024 yang memanfaatkan umpan terkait faktur pengiriman untuk menarik penerima agar meluncurkan muatan arsip ZIP.

File ZIP berisi file JavaScript yang dikaburkan, yang kemudian bertanggung jawab untuk menjalankan skrip PowerShell yang dirancang untuk memulai koneksi keluar ke server perintah-dan-kontrol (C2) yang terletak di alamat IP 62.133.60[.]137.
Vektor akses awal yang tepat yang digunakan untuk menyusup ke router tidak diketahui, tetapi berbagai versi firmware telah terpengaruh, termasuk versi yang rentan terhadap CVE-2023-30799, masalah eskalasi hak istimewa penting yang dapat disalahgunakan untuk mencapai eksekusi kode arbitrer.
“Terlepas dari bagaimana mereka telah dikompromikan, nampaknya aktor tersebut telah menempatkan naskah ke dalamnya [Mikrotik] perangkat yang mengaktifkan SOCKS (Secure Sockets), yang memungkinkan perangkat beroperasi sebagai pengalihan TCP,” kata Brunsdon.
“Mengaktifkan SOCKS secara efektif mengubah setiap perangkat menjadi proxy, menutupi asal mula lalu lintas berbahaya dan mempersulit pelacakan kembali ke sumbernya.”
Yang menambah kekhawatiran adalah kurangnya autentikasi yang diperlukan untuk menggunakan proxy ini, sehingga memungkinkan pelaku ancaman lain untuk menggunakan perangkat tertentu atau seluruh botnet untuk tujuan jahat, mulai dari serangan penolakan layanan terdistribusi (DDoS) hingga kampanye phishing.
Kampanye malspam yang dimaksud diketahui mengeksploitasi kesalahan konfigurasi dalam catatan TXT kerangka kebijakan pengirim (SPF) dari 20.000 domain, sehingga memberikan penyerang kemampuan untuk mengirim email atas nama domain tersebut dan melewati berbagai perlindungan keamanan email.

Secara khusus, diketahui bahwa data SPF dikonfigurasikan dengan opsi “+semua” yang sangat permisif, yang pada dasarnya menggagalkan tujuan perlindungan. Ini juga berarti bahwa perangkat apa pun, seperti router MikroTik yang disusupi, dapat memalsukan domain sah di email.
Pemilik perangkat MikroTik disarankan untuk selalu memperbarui router mereka dan mengubah kredensial akun default untuk mencegah upaya eksploitasi.
“Dengan banyaknya perangkat MikroTik yang disusupi, botnet mampu meluncurkan berbagai aktivitas berbahaya, mulai dari serangan DDoS hingga pencurian data dan kampanye phishing,” kata Brunsdon. “Penggunaan proxy SOCKS4 semakin mempersulit upaya deteksi dan mitigasi, sehingga menyoroti perlunya langkah-langkah keamanan yang kuat.”